APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析

APT 2个月前 admin
364 0 0
APT-C-55
  Kimsuky

BabyShark是基于 Microsoft Visual Basic (VB) 脚本的恶意软件系列,用于收集敏感信息。该组件最早发现于2019年,用于针对美国国家安全智库,之后该组件也被用于从事核安全和朝鲜半岛国家安全问题的间谍活动。近日,360高级威胁研究院捕获了一起APT-C-55(Kimsuky)组织利用IBM公司安全产品为诱饵投递BabyShark攻击组件的攻击活动。

在此次攻击活动中,攻击者向目标投递恶意ISO文件,通过BAT脚本安装IBM公司安全产品,同时利用BAT脚本下载恶意载荷,收集目标主机信息。

此次攻击事件中使用的攻击载荷和样本通信格式符合BabyShark组件特征,因此我们将此次攻击事件归属为APT-C-55(Kimsuky)组织。

一、攻击活动分析

1.攻击流程分析

在此次攻击活动中,攻击者利用失陷域nuclearpolicy101[.]org向目标投递名为RapportSetup.iso的恶意文件,ISO文件内包含名为install.bat的恶意BAT脚本以及名为update.exe的 IBM Security Trusteer Rapport安全产品,执行恶意BAT脚本后会安装update.exe,但同时也会从C2下载恶意后门脚本以窃取目标信息。

APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析

2.载荷投递分析

在载荷投递方式上,攻击者利用了IBM公司安全产品为诱饵,诱导目标执行恶意BAT脚本,同时也达到投递恶意载荷的目的。

3.攻击组件分析

在初始访问方面,攻击者利用失陷域nuclearpolicy101[.]org向目投递名RapportSetup的恶意ISO文件,ISO内包含名为install.bat的恶意BAT脚本以及名为update.exe的IBM公司安全产品安装程序。

APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 1 IBM公司Rapport产品属性

恶意BAT脚本首先运行update.exe,执行安全产品安装程序。之后利用wmic命令遍历进程,分别搜索Avast安全产品进程avastui.exe和avgui.exe,以及搜索Kaspersky安全产品进程avpui.exe和avp.exe。

在未遍历到两个安全产品相关进程后,首先终止winword.exe程序,然后恶意脚本从http://rapportdown[.]lol/rapport/com/ca.php?na=dot_kasp[.]gif和http://rapportdown[.]lol/rapport/com/ca.php?na=dot_eset.gif下载恶意文档模板保存至%appdata%MicrosoftTemplatesNormal.dotm,之后再从http://rapportdown[.]lol/rapport/com/ca.php?na=sh.gif 链接下载恶意脚本保存至windows的Start Menu目录下,命名为sh.vbs,用以实现开机自启加载该脚本。

在未发现Kaspersky安全产品相关进程情况下,恶意脚本还从http://rapportdown[.]lol/rapport/com/ca.php?na=reg.gif下载另一个恶意脚本保存至c:userspublicvideosvideo.vbs,并通过修改注册表将其设置为启动cmd.exe时自运行。

最后恶意脚本调用mshta程序加载远程https://rapportdown[.]lol/rapport/com/32.hta下的恶意hta脚本。

APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 2 install.bat脚本代码
上文中下载的video.vbs和sh.vbs脚本我们并未捕获,不过从其他攻击活动中发现的恶意脚本再结合以及此次攻击活动进程树分析,我们猜测video.vbs脚本应该符合以下代码格式。主要功能是从https://rapportdown[.]lol/rapport/com/ca.php?na=dot_v3.gif下载恶意模板文件,用以替换windows内置模板文件。
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 3 疑似video.vbs脚本
Normal.dotm模板用以替换windows内置模板文件,同时恶意模板内包含宏代码,用以执行从https://rapportdown[.]lol/rapport/com/32.hta下载且保存在c:userspublicvideosvideo.bat路径下的恶意脚本。
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 4 恶意模板中的宏代码
恶意脚本利用mshta加载远程https://rapportdown[.]lol/rapport/com/32.hta脚本,该脚本利用curl将远程脚本https://rapportdown[.]lol/rapport/com/ca.php?na=video.gif保存至c:userspublicvideosvideo.bat地址。
video.bat创建模仿主流浏览器的lnk快捷方式,用以加载远程https://rapportdown[.]lol/rapport/com/02.hta脚本。我们目前已经发现了引用 firefox.exe、msedge.exe以及chrome.exe的恶意快捷方式,命令行如下图所示。
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 5 恶意lnk命令行示例
恶意lnk文件加载远程02.hta脚本,这是一个vb脚本后门,该脚本使用cmd.exe执行以下命令并将其存储到%appdata%Microsoftttmp.log中,之后将log文件发送到远程地址http://rapportdown[.]lol/rapport/com/upload.php。
  • cmd.exe /c whoami
  • dir %appdata%Microsoft*.*
  • dir C:UsersPublicDesktop*.*
  • tasklist

APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析

图 6 恶意hta脚本代码
在我们分析过程中,我们还发现了Kimsuky组织近期利用2021年与红十字会相关话题的文章The Burden of the Unintended来投递BabyShark恶意组件。该攻击活动设计的组件与公开威胁情报https://asec.ahnlab.com/en/30324/所述基本一致。
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 7 诱饵文档
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 8 恶意脚本

二、归属研判

在我们捕获的以The Burden of the Unintended文章为诱饵的攻击活动的样本解密算法和密钥都符合公开威胁情报中Kimsuky样本特征,因此将此次攻击活动归属于Kimsuky组织。
APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析
图 9 本次攻击活动样本使用的解密算法

而以IBM公司安全产品为诱饵的攻击活动中,所释放的包括恶意模板文件和各种恶意脚本特征都符合Kimsuky组织投递BabyShark组件发起攻击的特征,同时以The Burden of the Unintended文章为诱饵的攻击活动中的样本通信格式“.php?na=*.gif”格式和以IBM公司安全产品为诱饵的攻击活动中样本通信格式非常一致,又再次证明该攻击活动是Kimsuky组织利用BabyShark组件发起的。

APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析

在本次攻击活动中我们看到攻击者利用安全产品为诱饵诱导目标执行恶意脚本,从而向目标进一步投递恶意载荷,同时我们还发现攻击者利用热点新闻为诱饵发起攻击。这些攻击手法均是以诱惑性载荷诱导用户执行,360高级威胁研究院建议用户通过官方渠道下载所需程序,以及不要打开陌生文档。


附录 IOC

4dc1943c6abe3a111a9a35317c3feae0 

083fa7ca0ce4184bc832cf8436a1e201 

39a328054149bdc08f67bb58751bea2b 

057602b3875bac739aec46900d9654e6  

7753f37dfbc44815282433f16b56c0ce 

7d412ca2addde4493799013cfe072bd6

42931f400211f519ccede867e1d7713c

05c7f9928b6b18cefb68fa2fe59035d3

b49f143f19de6b8c5793c3629272fdbd

eab98db8071e5ac1832b6634da13ed64

55817d3a19bdc98f6466a4f3ac637e12

6956eb082dd4ae26f8d40c1e16aa7927

d3d2265f42ecd36b345bc691c2e20fdd

7ebca576152abb0eadb06f7fcc761c7d

36264cdc129490be44fbe65bf1c7e813

4a838b5b8884eaf536e497cfc2a211bf

848a01cb6f704012af3bf8d56a29a945

a0f744f700e1b81d34c3c8b90dd61dc0  

0b8a41ec2711e335559ece59d01d1d37 

59ae38308c5eccd90b95677808a8ac92

fa935505e2a9a7de6380ab9447d07d2c 

1a1f9683c8a2d32c007eb8306463ed5d 

127f459bcefb9f614f03876604928824

ab22a6c2a931096958fef73451546a1b

8ea234d3f714ea83997437fd8bc03c0c 

088bbf9fdc9445b44a0ee630d30908c7 

c5bdafd9962673a5bc700c273af4a210

http://rapportdown[.]lol/rapport/com/ca.php?na=dot_kasp.gif

http://rapportdown[.]lol/rapport/com/ca.php?na=dot_eset.gif

http://rapportdown[.]lol/rapport/com/ca.php?na=reg.gif  http://rapportdown[.]lol/rapport/com/ca.php?na=sh.gif

https://rapportdown[.]lol/rapport/com/32.hta

https://rapportdown[.]lol/rapport/com/ca.php?na=video.gif

https://rapportdown[.]lol/rapport/com/ca.php?na=dot_v3.gif

https://rapportdown[.]lol/rapport/com/02.hta

https://dusieme[.]com/hwp/d.php?na=colegg1.gif    

https://dusieme[.]com/hwp/d.php?na=colegg2.gif    

https://dusieme[.]com/hwp/d.php?na=colegg3.gif   

https://dusieme[.]com/hwp/d.php?na=sched.gif

https://dusieme[.]com/js/cic0117/ca.php?na=dot_emsi.gif

https://dusieme[.]com/panda/d.php?na=vbtmp








360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析

版权声明:admin 发表于 2022年11月29日 下午4:01。
转载请注明:APT-C-55(Kimsuky)组织以IBM公司安全产品为诱饵的攻击活动分析 | CTF导航

相关文章

暂无评论

暂无评论...